欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
• 关于 API 漏洞案例研究
• Riverbed SteelCentral AppInternals 软件中的 API 漏洞
• 一篇关于即使是最“完美”的 API 也可能被滥用的文章
• 关于更安全处理JSON 网络令牌 (JWT)
API 漏洞案例研究
近期,一篇热门文章是关于爱尔兰安全研究员@pmofcats在最近的一项任务中发现的一系列相关 API 漏洞 的文章。这篇文章让 API 防御者和开发人员大开眼界,让他们意识到他们的 API 很容易被攻击者破坏。正如古老的格言所说:一条链的强度取决于其最薄弱的环节,这篇文章显示了一个系统是多么容易被相对较小的弱点完全破坏。
研究人员描述了一个具有三个相关实体(对象)的系统:祖父母、父母和孩子。使用各种攻击技术(一些直接在 API 上,另一些通过逆向工程或存储库),研究人员能够:
• 获取API 请求中的p arent UUID 泄漏。
• 如果 UUID 已知,则将 角色(例如管理员)重新分配给父级,因为Broken object-level authorization。
• 访问 API 密钥、管理员详细信息等,因为功能级授权损坏。
• 由于弱 JWT 验证,通过修改 JWT 中的子ID来实现完全帐户接管。
• 由于政策执行不力而创建任意祖父实体。
• 在 GitHub 存储库的提交历史记录和应用程序的 JavaScript 文件中泄露祖父母ID。
• 访问通过未验证父ID 值并使用默认生产值的端点公开的 API 密钥和关键 PII。
• 在 API 端点上重用 Web UI cookie 以访问高权限操作。
感谢研究人员的分享,这篇文章展示了一个熟练的攻击者可以很容易地在一个目标上使用多个攻击向量。
Riverbed 软件 API 中的注入攻击
近期,The Register 报道了 Riverbed 的 SteelCentral AppInternals 软件 API 中的漏洞。这些漏洞由网络安全专家 Kang Hao Leng 披露,他于 2021 年 11 月发现。
与 API 端点上 URL 路径中的目录遍历相关的漏洞。缺乏足够的输入验证允许攻击者故意提交格式错误的 URL 来遍历目标文件系统——一种注入攻击形式。
四个关键漏洞被跟踪为CVE-2021-42786、 CVE-2021-42787、 CVE-2021-42853和CVE-2021-42854。在撰写本文时,尚无有关这些漏洞的补救或缓解的详细信息。
对于 CVE-2021-42786,该软件 API 中的远程代码执行漏洞是缺少 URL 路径的输入验证。对于 CVE-2021–42787,由于缺乏对文件名的输入验证,攻击者可以使用“../”等字符作为名称,从而导致潜在的目录遍历,这意味着不法分子可以未经授权访问受限资源。
CVE-2021-42853 和 CVE-2021-42854 还涉及 API 端点中的目录横向漏洞。博客文章详细描述了这些缺陷,并向我们保证这些错误已被修补。Riverbed 软件的用户应确保他们的部署是最新的。
即使是“完美”的 API 也可能被滥用
Dark Reading 提出了关于滥用“完美” API 的想法——即使是完全安全的 API(或至少没有表现出明显的漏洞)仍然可能被滥用。众所周知,这些所谓的滥用攻击很难被发现,因为它们“隐藏在视线范围内”,类似于普通的 API 使用,尽管目的很邪恶。
并非所有 API 攻击都利用漏洞
传统的应用程序安全处理漏洞,例如OWASP API Top 10中逐项列出的漏洞。在这种情况下,漏洞被定义为 API 实现、其部署或配置中的缺陷,使其暴露于潜在的利用中。可以发现并修复漏洞。在开发生命周期 (SDLC) 中,已经非常关注扫描代码和运行动态分析以及早发现 API 漏洞。
攻击是攻击者积极利用应用程序获取利益的行为。一些攻击利用漏洞,但如果攻击者使用合法凭据,即使是设计完美的 API 也可能被滥用。
API 通过设计将核心业务逻辑和敏感数据暴露给外部。为了窃取数据或进行欺诈,攻击者只需要使用正确的 API 和正确的凭据。许多成功的攻击难以被发现的原因是它们隐藏在授权流量中。攻击者或流氓第三方可以使用这些授权渠道进行未经授权的活动。
这些攻击远远超出了已知的漏洞。当攻击者使用授权访问时,他们可以执行“API 滥用”。今天,API 滥用是针对目标的风险最高的攻击,因为有效凭据被用于访问或操纵数据或进行欺诈交易。因为凭证是有效的,所以允许访问和操纵并且造成了损害。
API 滥用可能包括:
• 出于恶意原因以未经批准的方式使用 API。在这些情况下,API 在技术上按设计使用,但被错误的人或出于错误的原因使用。数据抓取就是一个例子。
• 利用应用程序逻辑中的漏洞。这些滥用行为特定于特定业务,并且在许多情况下,并没有通过众所周知的 OWASP 框架解决。
最常被滥用的 API 通常是合作伙伴的 API——一个很好的例子是 2018 年的 Facebook 和 Cambridge Analytica 丑闻。Cambridge Analytica 能够利用 Facebook API 并获取用户信息以进行人口统计分析。这不是 Facebook API 中的漏洞,而是不良行为者滥用 API。这不仅难以察觉,而且对 Facebook 来说代价高昂,并引起了政府监管机构的注意。
文章的结论是,没有简单的解决方案来解决滥用案例,但建议从 OWASP API Security Top 10 开始以消除漏洞,然后使用攻击框架(例如 MITRE ATT&CK)来映射滥用案例和方法。
更安全地处理 JWT
近期 Alex Savage 提供的一篇文章,讲述了他对API 后端中 JWT 安全处理的看法。对于负责验证 JWT 的开发人员来说,这篇文章是一本很好的快速阅读文章:虽然看似简单的任务,但它充满了危险,弱 JWT 通常是 API 漏洞的来源(如本周第一个漏洞案例所示) 。
好消息是相对简单的清单可以应用于 JWT 验证。例如,我们最近发布了一份关于常见陷阱的指南,Savage 的这篇文章提出了以下要点:
• 选择一种(而且只有一种!)算法。通常,建议使用 RS256 或 HS256。
• 使用标准库进行解码和验证,避免自己编写。
• 在完全验证令牌之前不要使用令牌声明。
• 制定密钥轮换政策。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
近期,The Register 报道了 Riverbed 的 SteelCentral AppInternals 软件 API 中的漏洞。这些漏洞由网络安全专家 Kang Hao Leng 披露,他于 2021 年 11 月发现。
与 API 端点上 URL 路径中的目录遍历相关的漏洞。缺乏足够的输入验证允许攻击者故意提交格式错误的 URL 来遍历目标文件系统——一种注入攻击形式。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 再“完美”的 API 也可能被滥用
